Der reibungslose Datentransfer zwischen den Vereinigten Staaten und der Europäischen Union ist für die Förderung der digitalen Wirtschaft entscheidend und ermöglicht es multinationalen Unternehmen, ihre globalen Belegschaften effektiv zu managen. Barbara Cosgrove, Chief Privacy Officer bei Workday, erläutert die Bedeutung des neuen EU-US-Datenschutzrahmens für Workday-Kunden und für die Zukunft. |
Workday begrüßt die Verabschiedung des neuen EU-US-Datenschutzrahmens (EU-US Data Privacy Framework, DPF), der Unternehmen mehr Sicherheit für die rechtskonforme Übermittlung personenbezogener Daten aus Europa in die Vereinigten Staaten bietet. Workday ist ein starker Befürworter von zwischenstaatlichen Übereinkommen, die den grenzüberschreitenden Datenfluss erleichtern. Darüber hinaus schätzen wir die jahrelangen Bemühungen der Vereinigten Staaten und der Europäischen Kommission, den sicheren Datenfluss über den Atlantik auch weiterhin zu gewährleisten. Nachdem die Verpflichtungen der US-Regierung im Rahmen des DPF nun erfüllt sindund der Angemessenheitsbeschluss der Europäischen Kommission finalisiert ist, haben sich politische Entscheidungsträger auf beiden Seiten des Atlantiks auf neue Schutzmaßnahmen geeinigt, um die Bedenken des Europäischen Gerichtshofs (EuGH) im „Schrems II“-Urteil vom Juli 2020 auszuräumen.
Damit unsere Kunden besser verstehen, was das für sie bedeutet, möchte ich einige häufig gestellte Fragen zum jüngst verabschiedeten DPF beantworten.
Zur Erinnerung: Die wichtigsten, im Schrems-II-Urteil vom EuGH behandelten Fragen bezogen sich auf den Datenzugriff durch US-Regierungsbehörden. Im vergangenen Jahr hat die US-Regierung signifikante Änderungen daran vorgenommen, wie US-Geheimdienste auf personenbezogene Daten aus Europa zugreifen können. Sie hat entsprechende Strukturen eingerichtet, um Nicht-US-Personen Anspruch auf Rechtsbehelf zu gewähren, wenn diese glauben, dass unrechtmäßig auf ihre Daten zugegriffen wurde. Das Justizministerium und das Office of the Director of National Intelligence haben diese Verpflichtungen gemäß der Executive Order von Präsident Biden zu transatlantischen Datenübermittlungen umgesetzt. Im Einzelnen heißt das: Die US-Geheimdienste haben die neuen Richtlinien und Verfahrenübernommen, der Attorney General hat den Europäischen Wirtschaftsraum offiziell als qualifizierten Staat ausgewiesen, der Zugang zum Rechtsbehelfsmechanismus des DPF hat, und ein neuer Data Protection Review Court gemäß § 511 wurde eingerichtet. Weiter unten erfahren Sie mehr über den Standpunkt von Workday zu dieser Executive Order.
Der Angemessenheitsbeschluss bietet unseren Kunden mehr Sicherheit, dass personenbezogene Daten aus Europa rechtmäßig in die Vereinigten Staaten übermittelt werden können. Seit 2020 unterstützt Workday seine Kunden erfolgreich mit anderen Datentransfer-Mechanismen, wie z. B. Standardvertragsklauseln und verbindlichen unternehmensinternen Regeln für Datenverarbeiter. Während dieser Zeit haben wir auch ein detailliertes Datenblatt zum Transfer Impact Assessment, vorgelegt, um Kunden bei der Bewertung des Risikos einer Datenübermittlung zu unterstützen. Wir werden diese rechtskonformen Datenübertragungsmechanismen weiterhin anbieten und aktualisieren unser Datenblatt zum Transfer Impact Assessment, um die jüngsten Änderungen im US-Rechtssystem zu berücksichtigen. Selbst für Unternehmen, die den neuen DPF nicht als Datenübertragungsmechanismus einsetzen, gelten im Rahmen der Datenschutz-Grundverordnung die neuen Schutzmaßnahmen der US-Regierung für alle Transfers personenbezogener Daten an Unternehmen in den USA, einschließlich Transfers, bei denen Standardvertragsklauseln und verbindliche unternehmensinterne Regeln zur Anwendung kommen.
Darüber hinaus haben wir unsere Zertifizierung nach dem Privacy Shield Frameworkbeibehalten, sodass wir innerhalb kürzester Zeit auf den DPF umstellen können. Wir verpflichten uns außerdem, bei Anträgen der Strafverfolgungsbehörden auf Datenzugriff Transparenz zu gewährleisten und regelmäßige Neufassungen unseres Transparenzberichts zu veröffentlichen.
Wie beim Safe Harbor Framework und dem Privacy Shield Framework werden wir wahrscheinlich auch beim DPF eine Anfechtung vor europäischen Gerichten erleben. Auf der Grundlage der beispiellosen Änderungen durch die US-Regierung, um die Schutzmechanismen beim Zugriff auf personenbezogene Daten aus Europa durch US-Regierungsbehörden zu verbessern und Nicht-US-Personen Anspruch auf Rechtsbehelf zu gewähren, ist Workday davon überzeugt, dass der DPF das Ziel der Regierungen beider Seiten, eine dauerhafte und zuverlässige Rechtsgrundlage für den transatlantischen Datenverkehr zu schaffen, erfolgreich erfüllt.
Hier bei Workday begrüßen wir die mit Spannung erwartete Executive Order (EO) zu transatlantischen Datentransfers, die am 7. Oktober von Präsident Joe Biden erlassen wurde. Mit der EO soll das Abkommen zwischen der Europäischen Union und den Vereinigten Staaten umgesetzt werden, Fragen des Zugriffs durch Regierungsbehörden zu klären. Diese standen im Mittelpunkt des Rechtsfalls „Schrems II“, durch den der Privacy Shield als Datentransfermechanismus für ungültig erklärt wurde. Der reibungslose Datentransfer zwischen den Vereinigten Staaten und der Europäischen Union ist für die Förderung der digitalen Wirtschaft entscheidend und ermöglicht es multinationalen Unternehmen, ihre globalen Belegschaften auf effektive Weise zu verwalten.
Die neue EO ist ein positiver Schritt in Richtung eines dauerhaften freien Transfers personenbezogener Daten aus der Europäischen Union, einschließlich Mitarbeiterdaten, in die Vereinigten Staaten. Es gibt allerdings eine Menge Informationen zu verarbeiten. Daher möchte ich gerne näher erläutern, was genau das bedeutet und wie sich dies sich in Zukunft auf unsere Kunden auswirken wird.
Vor einigen Monaten kündigten US-Präsident Joe Biden und die Präsidentin der Europäischen Kommission, Ursula von der Leyen, eine politische Vereinbarung namens EU-US Data Privacy Framework (DPF) an, die den freien Transfer personenbezogener Daten aus der EU in die Vereinigten Staaten stärken soll. Die kürzlich veröffentlichte EO formalisiert die Verpflichtungen der USA im Rahmen dieses Abkommens, indem es EU-Bürgern ermöglicht, formelle Beschwerden einzureichen, wenn sie der Ansicht sind, dass ihre personenbezogenen Daten von der US-Regierung aus Gründen der nationalen Sicherheit unrechtmäßig erfasst wurden. Ferner sieht sie Schutzmechanismen vor, um zu gewährleisten, dass die Tätigkeiten der US-Nachrichtendienste zum Erreichen ihrer Sicherheitsziele notwendig und verhältnismäßig sind.
Der reibungslose Datentransfer zwischen den Vereinigten Staaten und der Europäischen Union ist für die Förderung der digitalen Wirtschaft entscheidend und ermöglicht es multinationalen Unternehmen, ihre globalen Belegschaften effektiv zu verwalten.
Die EO ebnet der Europäischen Kommission den Weg, ein Angemessenheitsverfahren für Unternehmen einzuleiten, die am DPF zwischen der EU und den USA teilnehmen. Über den Erlass der EO hinaus sind einige weitere Schritte notwendig, bevor zwischen den Vereinigten Staaten und der Europäischen Union wieder ein formeller Angemessenheitsrahmen in Kraft treten kann. Zu diesen Schritten gehören der Erlass eines förmlichen Angemessenheitsbeschlusses durch die Europäische Kommission sowie die Stellungnahme des Europäischen Datenschutzausschusses. Schließlich müssen die europäischen Mitgliedstaaten dem Framework zustimmen und es formell verabschieden. Die Europäische Kommission hat bereits ihre Unterstützung für den neuen DPF zwischen der EU und den USA zugesichert und erhebliche Verbesserungen im Vergleich zum bestehenden Privacy Shield-Mechanismus festgestellt.
Getreu unserem Grundwert „Kundenservice“ nehmen wir bei Workday Datenschutz und Sicherheit sehr ernst und unterhalten angemessene Sicherheitsvorkehrungen zum Schutz der Daten unserer Kunden. Im Anschluss an die Schrems-II-Rechtssache haben wir unseren Kunden ein umfassendes Whitepaper zum Transfer Impact Assessment (TIA) zur Verfügung gestellt, damit sie das Risiko der Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten im Rahmen eines unternehmensinternen Human Capital Management (HCM)- und Finanzmanagement-Systems einschätzen können. Basierend auf vielen Faktoren, einschließlich der Art der Daten, der Historie behördlicher Anfragen an Workday und andere ähnliche Unternehmen sowie Regierungserklärungen, kamen wir zu dem Schluss, dass das Risiko gering war.
Bei Workday werden wir unsere bestehenden TIAs umgehend aktualisieren, um diese Änderung im US-Recht widerzuspiegeln, und unsere TIA weiterhin nutzen, um Datentransfers mithilfe rechtlicher Mechanismen zu unterstützen, die Workday bereits einsetzt. Dazu gehören etwa verbindliche unternehmensinterne Regeln für Datenverarbeiter (Binding Corporate Rules for Processors, BCRs) und Standardvertragsklauseln (Standard Contractual Clauses, SCCs). Darüber hinaus ist Workday nach wie vor für das Privacy Shield-Framework zertifiziert. Da die rechtliche Anfechtung des Privacy Shield nicht auf kommerziellen Datenpraktiken, sondern auf Fragen der nationalen Sicherheit beruhte, gehen wir davon aus, dass die Anwendung des neuen EU-US-DPF als rechtlicher Datentransfermechanismus nahezu nahtlos erfolgen wird, sobald der neue, im kommenden Frühjahr erwartete Angemessenheitsbeschluss finalisiert ist.
Der nahtlose Datentransfer zwischen den USA und der EU ist von grundlegender Bedeutung für den transatlantischen Handel und für Investitionen in die moderne digitale Wirtschaft, da zwischen den USA und Europa im globalen Vergleich die meisten Daten übertragen werden. Es ist wichtig, dass politische Entscheidungsträger in Partnerschaft mit Unternehmen und anderen Interessengruppen zusammenkommen, um dauerhafte Frameworks zu entwickeln und zu implementieren, die Datentransfers ermöglichen und Datenschutz gewährleisten. In den Tagen und Monaten nach dem Schrems-II-Urteil arbeitete Workday intensiv mit der Biden-Administration und den entsprechenden Stellen der Europäischen Kommission zusammen, um einen Nachfolgerahmen für den Datentransfer zu definieren. Wir unterstützen nachdrücklich die Bemühungen von Präsident Biden, die Verpflichtungen aus dem EU-US-Datenschutzrahmen umzusetzen, und freuen uns auf die Zusammenarbeit mit Partnern in der EU im Hinblick auf eine neue Angemessenheitsfeststellung.
In Kürze finden Sie den aktualisierten TIA in der Workday Community.
Dieser Blog-Beitrag wurde ursprünglich im Oktober 2022 veröffentlicht.
Barbara Cosgrove, Vice President, Chief Privacy Officer bei Workday, erläutert die Position von Workday zur Einrichtung des Global Cross-Border Privacy Rules Forum, was dies für die Branche insgesamt bedeutet und welche zukünftigen Entwicklungen bei globalen Datenübermittlungen zu erwarten sind.
Weiteres Lesematerial
Es gibt keine Abkürzung, wenn es darum geht, Agilität zu etablieren und digitale Initiativen schnell zu skalieren. Laut einer IDC-Studie verlangt eine Digital-first-Unternehmensinfrastruktur eine anpassungsfähige Kernarchitektur, die sich durch Offenheit, Erweiterbarkeit und Intelligenz auszeichnet.
Als der globale Hersteller kein geeignetes DMS (Dokumentenmanagementsystem) finden konnte, arbeitete das Team für HR-Transformation mit Workday Extend-Experten Kainos zusammen, um etwas völlig Neues und Innovatives zu entwickeln.
